Se ha descubierto una nueva ola de paquetes maliciosos que afectan a dos de los ecosistemas de software más importantes: RubyGems y Python Package Index (PyPI). Estos paquetes dañinos se disfrazan como herramientas legítimas de automatización para redes sociales, blogs y servicios de mensajería, pero en realidad roban las credenciales de los usuarios y apuntan a carteras de criptomonedas.

Según la empresa de seguridad en la cadena de suministro de software Socket, desde al menos marzo de 2023, un actor malicioso que opera bajo varios alias como zon, nowon, kwonsoonje y soonje ha publicado cerca de 60 paquetes maliciosos en RubyGems. Estos paquetes ofrecen funcionalidades de automatización para plataformas como Instagram, Twitter (X), TikTok, WordPress, Telegram, Kakao y Naver, acumulando más de 275,000 descargas. Sin embargo, no todas las descargas resultan en una infección, ya que varios paquetes pueden ser descargados en un mismo equipo y algunos quizás ni se ejecuten.

Aunque estos gems cumplen con las funcionalidades prometidas, como publicaciones masivas o aumento de interacción, también incluyen funciones ocultas para capturar y enviar nombres de usuario y contraseñas a servidores controlados por los atacantes. Para ello, muestran una interfaz gráfica engañosa que solicita credenciales, mientras filtran la información hacia dominios como programzon[.]com, appspace[.]kr y marketingduo[.]co[.]kr, conocidos por ofrecer servicios de mensajería masiva, recolección de números telefónicos y automatización en redes sociales.

Un grupo destacado de estos paquetes, como njongto_duo y jongmogtolon, se enfocan en foros financieros, inundándolos con menciones de símbolos bursátiles, narrativas sobre acciones y participación sintética para manipular la percepción pública. Las víctimas son probablemente especialistas en marketing “grey-hat” que utilizan estas herramientas para campañas de spam, SEO y aumento artificial de interacción.

El análisis de Socket indica que estos paquetes apuntan principalmente a usuarios de Windows en Corea del Sur, respaldado por interfaces en coreano y la exfiltración de datos hacia dominios .kr. La campaña ha evolucionado bajo varios alias y cambios en infraestructura, mostrando un actor sofisticado y persistente. Al incrustar el robo de credenciales dentro de herramientas de automatización aparentemente legítimas, los atacantes ocultan sus actividades entre el tráfico normal de usuarios.

Paquetes maliciosos detectados en PyPI roban criptomonedas

Paralelamente, investigadores de GitLab detectaron varios paquetes de Python en PyPI que imitan librerías legítimas usadas para operaciones de staking en la blockchain, diseñados para robar criptomonedas de carteras Bittensor. Estos paquetes falsos incluyen nombres como bittensor, bittenso-cli, qbittensor y bittenso.

GitLab explicó que los atacantes aprovecharon la confianza de los usuarios en las funciones legítimas de staking al insertar código malicioso, explotando tanto los requisitos técnicos como la psicología del usuario durante operaciones comunes en blockchain.

Respuesta en seguridad y medidas futuras

En respuesta a estas amenazas en la cadena de suministro de software, los administradores de PyPI han reforzado medidas para evitar ataques de confusión en el parser ZIP, que permiten introducir cargas maliciosas en instaladores de paquetes de Python aprovechando diferencias en el comportamiento de extracción entre distintas herramientas.

PyPI anunció que, a partir del 1 de febrero de 2026, rechazará los paquetes Python “wheel” que no cumplan con los estándares de metadatos esperados, tras seis meses de advertencias a los mantenedores. Esta política busca reducir los riesgos derivados de paquetes malformados o engañosos. La Python Software Foundation reconoció a los investigadores Caleb Brown (Google Open Source Security Team) y Tim Hatch (Netflix) por reportar estas vulnerabilidades.

Conclusión

Esta tendencia creciente de paquetes maliciosos en repositorios open source populares demuestra los riesgos constantes en la cadena de suministro de software, especialmente cuando los atacantes aprovechan ecosistemas confiables para distribuir malware que roba credenciales y ataca criptomonedas. Las organizaciones y desarrolladores deben mantenerse alertas, aplicar procesos estrictos de verificación de paquetes y seguir las mejores prácticas para una gestión segura de la cadena de suministro de software.

Fuente: https://thehackernews.com/2025/08/rubygems-pypi-hit-by-malicious-packages.html